> CAP_SYS_ADMIN - вот это надо порубить к чертям собачим.По хорошему это дорого, требует модификации ПО. Начни с Cisco и их snort который при запуске создает run, log, меняет им права. Обьясни Cisco что это дело инит скрипта а не сервиса.
Можно по плохому и дешево: сделать hardened chroot https://wiki.gentoo.org/wiki/Chrooting_proxy_services и им жестко рубить капабилити не спрашивая. Также RBAC от Grsecurity жестко рубит капабилити.
> Включить SELinux... тут и Apparmor подойдёт. Главное получить системный MAC/RBAC
Это очень дорого!!! И надо ли????
Если дискретность раздачи прав - пользователь, то вполне хватит DAC (chown, chmod, ...). Более того, настройка DAC обязательна перед использованием MAC/RBAC.
Графического интерфейса для пользователя не надо. DAC лучше сопровождать на уровне разрабов отдельных пакетов и дистрибутива в целом.
> Отделить компоненты ОС (пакеты в репозитории) от программ пользователя.
Не надо этого делать. Все устанавливаемые пакеты должны проходить проверку целостности с использованием открытых и приватных ключей. Открытые ключи должны проходить верификацию.
> В линуксе базовых вещей по десктопной безопасности нет пока что.
В KDE-3 был режим киоск. Защита десктопа была на очень хорошем уровне. К сожалению новое поколение кедерастов всю безопасность в KDE попортили и выкинули.
ЗЫ Integrity пропустил, его реализация дешовая и необходима для работы DAC, а также capabilities, MAC.
https://www.opennet.ru/openforum/vsluhforumID3/120272.html#23
https://www.opennet.ru/openforum/vsluhforumID3/120272.html#25